Сергей Рысин, 20/03/19
Советник директора по безопасности Государственной транспортной лизинговой компании Сергей Рысин подробно рассмотрел в своем интервью современные угрозы на рынке безопасности, выделил ключевые темы этого года, которые повлияют на развитие ИБ в будущем и дал рекомендации как повысить осведомленность в сфере безопасности среди сотрудников.
IS: Какие угрозы информационной безопасности сегодня находятся в топе?
О: На сегодняшний день из собственной практики могу выделить следующие основные угрозы, с которыми приходится вести активную борьбу:
- утечка конфиденциальной информации через публичные каналы связи;
- недостаточный уровень грамотности сотрудников в области информационной безопасности, в частности при работе с мобильными устройствами;
- неизбежные риски наличия уязвимостей "нулевого дня" в приложениях и аппаратных прошивках.
IS: Что сегодня является драйвером рынка информационной безопасности? Появились ли в этом году какие-то новые тренды?
О: На мой взгляд, сейчас одним из главных драйверов рынка ИБ выступают общемировые крупные инциденты, получающие широкую огласку в СМИ и сигнализирующие бизнесу о необходимости развития ИБ. Безусловно, приходится их отслеживать, чтобы оставаться на плаву, однако,по-прежнему главная задача работника ИБ состоит в том, чтобы предвосхитить события и чтобы на момент появления информации об инциденте его система уже была защищена. Для этого необходимо тщательно следить за новыми веяниями в ИБ, ИТ и смежных областях для построения правильной стратегии защиты. Из новых трендов можно отметить виртуальные комнаты данных, защиту 0 day, GDPR, но последнее больше касается наших европейских коллег.
IS: Рынок информационной безопасности в России довольно жестко зарегулирован и традиционно подвержен влиянию законодательных инициатив. Можно ли выделить ключевые темы этого года, которые повлияют на развитие рынка в будущем?
О: Несомненно, текущие законодательные инициативы, направленные на регулирование рынка, в частности ужесточение штрафов за нарушение порядка обработки и защиты персональных данных, принятие закона о критической информационной инфраструктуре, который определяет в том числе уголовную ответственность, и другие неизбежно повлекут за собой рост инвестиций крупных компаний в информационную безопасность. Большое внимание государства к вопросам информационной безопасности, в том числе на фоне растущих угроз извне, уже сейчас радикально меняет отношение руководства компаний к вопросам ИБ, все больше укрепляет в осознании важности этого направления, необходимости проведения системной работы и создания надежной инфраструктуры, привлечения к этой работе профессионального кадрового состава.
Также как ключевую тему, влияющую на рынок ИБ, можно отметить вопрос организации импортозамещения: мы сейчас можем наблюдать активный процесс создания пула отечественных решений. На практике же мы сталкиваемся с проблемой прозрачного перехода: к сожалению, зачастую информации об отечественных решениях недостаточно, а производители не идут на прямой диалог с конечными потребителями, но ситуация в целом налаживается.
Отмечу, что все еще остаются области, которые сейчас не регулируются вовсе, например, IoT. При этом все чаще подобные устройства становятся подвержены атакам, ставящим под угрозу безопасность как частных лиц, так и компаний.
IS: В 2017 году вы завершили проект по внедрению SIEM-системы. Как быстро был замечен положительный эффект от внедрения? В чем он выражался?
О: На этапе выбора решения мы уже знали, что хотим получить от SIEM в конечном итоге. И уже в первые три месяца после внедрения мы получили значимые результаты: смогли обнаружить те проблемы, которые при ручном анализе мы бы никак не выявили. В действительности, внедряя решения такого класса, надо понимать, для каких целей это делается: сам по себе SIEM не даст вам готового решения проблем, но, безусловно, при правильном использовании поспособствует их обнаружению. В нашем случае по результатам внедрения мы обзавелись мощным инструментом, облегчающим работу.
IS: Каких результатов удается достичь, используя лишь информацию об инцидентах из SIEM?
О: В первую очередь SIEM позволяет выявить проблемные направления и собрать информацию для проведения полноценного расследования. Сам по себе SIEM может предупредить, например, начало атаки на корпоративную систему или зафиксировать попытку несанкционированного доступа, в большинстве случаев для детального разбирательства даже нет необходимости применять специализированные средства.
IS: По каким параметрам проводился отбор системы?
О: При выборе системы мы пытались ответить для себя на следующие вопросы:
- Для каких наших источников в продукте уже заложена нормализация?
- Какие необходимые нам правила корреляции подойдут "из коробки"?
- Сможем ли мы подключить собственные бизнес-критичные источники, в том числе "самописные"?
- Насколько гибкая и удобная система формирования отчетов заложена в системе?
- 5Насколько успешно мы сможем впоследствии интегрировать новые процессы в систему?
- Насколько система масштабируема?
- Есть ли качественная техническая поддержка системы?
- Насколько богат рынок специалистами, хорошо знающими систему?
IS: Если SIEM станет умнее благодаря закладываемой в нее экспертизе, значит ли это, что другие технологии не нужны?
О: Конечно же нет. SIEM может быть эффективен только тогда, когда его в комплексе наполняют нужной информацией, грамотно настраивают алгоритмы корреляции событий – все это возможно только в синергии с другими смежными технологиями. Возьмем, например, тот же инструментарий для работы с NetFlow-диаграммами – SIEM не имеет возможности анализировать подобную информацию в реальном времени, для этого существует другой класс систем.
IS: В современном мире такое понятие, как защита периметра, можно сказать, не существует, так как самого периметра уже практически нет. Многие сотрудники работают удаленно и через собственные устройства. Как в ГТЛК вы смогли защитить корпоративную сеть и пользовательские устройства от внешних угроз?
О: Проблема работы с удаленными сотрудниками и мобильными устройствами стоит сейчас очень остро (здесь впору снова кинуть камень в огород IoT, который я упоминал ранее), но и в данном направлении есть различные решения. Например, при помощи технологий, предложенных компанией CheckPoint, таких как Capsule Workspace, Endpoint Security, SandBlast и NGFW. В части передачи конфиденциальной информации хорошо зарекомендовали себя решения класса Virtual Data Room (виртуальные комнаты данных), которые безопасно позволяют расширить территорию периметра, при этом не "размывая" ее.
IS: Какие еще решения вы планируете внедрить в рамках модернизации системы обеспечения ИБ в ГТЛК?
О: Безусловно, мы планируем и дальше работать над укреплением нашей информационной безопасности по всем направлениям. Конкретные продукты до принятия окончательного решения об их внедрении я называть не хотел бы, но о классах решения можно сказать, это решения класса IDM для централизованного управления учетными записями, а также система класса Patch Management, так как контроль за уязвимостями на сегодняшний момент стоит остро.
IS: Сейчас много говорится о сильной нехватке кадров в ИТ и ИБ. Как в ГТЛК решена эта проблема?
О: Как говорится, специалистов много, а работать некому. С этой проблемой столкнулись и мы, когда подбирали работников в компанию на вакансии ИБ. По результатам общения с десятками кандидатов мы вынуждены признать, что сейчас на рынке действительно наблюдается явный дефицит профессиональных кадров: в силу стремительного развития технологий вузы зачастую дают теоретическую базу, а не обучают практической работе с современными вызовами. При этом заниматься самообразованием, к сожалению, готовы далеко не все. Получается, что на рынок выходят специалисты, которые в лучшем случае знают теорию.
В том числе и по этой причине мы сейчас занимаемся максимальной автоматизацией для решения вопросов ИБ. Как я в шутку люблю говорить, в будущем будет всего три сферы деятельности: программирование роботов, продажа роботов и ремонт роботов, а все остальное уйдет в историю. Преувеличено, конечно, – безусловно, ключевые элементы информационной безопасности должны контролировать грамотные специалисты, в том числе управленцы.
IS: Человеческий фактор по-прежнему остается одним из самых сложноконтролируемых элементов в ИБ. Как вы решили проблему осведомленности сотрудников по части информационной безопасности? Удалось ли вам превратить сотрудников в осознанных пользователей, которые не создают лишних проблем безопасникам?
О: Человеческий фактор всегда был и будет, но если грамотно объяснять проблемы, к которым может привести несоблюдение правил ИБ, то возможно минимизировать связанные с ним риски. Одна из основных задач работников ИБ – это прямой диалог с конечными пользователями и предупреждение об угрозах, которые могут возникнуть, еще до их появления.
IS: Работаете ли вы с повышением грамотности в области информационной безопасности с вашими пользователями? Как вы это делаете?
О: Мы проводим интерактивные занятия с разбором конкретных кейсов, организуем информационные рассылки, иногда даже проводим "боевые учения" на тему базовых вопросов ИБ, например, как не попасться на фишинг и не стать жертвой социальных инженеров.
IS: Какие рекомендации вы можете дать нашим читателям по обеспечению ИБ в транспортной отрасли?
О: Думаю, это касается не только транспортной, но и любой другой отрасли. Кроме стандартных задач информационной безопасности я бы выделил еще два важных момента. Во-первых, необходимо организовать открытое, доверительное общение с конечными пользователями, ведь информационная безопасность должна помогать бизнесу достигать своих целей, а не вставлять ему палки в колеса. Во-вторых, требуется наладить продуктивное взаимодействие с подразделениями ИТ, так как ИТ и ИБ – это те направления, которые очень тесно связаны и между которыми очень размытая граница. Конструктивное взаимодействие ИТ и ИБ позволяет добиваться более высоких результатов.
